WinPcap在网络监听管理中应用研究.docVIP

WinPcap在网络监听管理中应用研究 　　摘要：随着网络应用的不断增多，随之而来的信息安全问题也日益突出,如何对网络进行准确的网络监控与管理已成为网络管理者面临的一个重要的问题；在分析WinPcap的基础上，利用WinPcap设计了一个网络监管系统，采用了动态时间驱动分组采样算法提高了采样效率，采用了K-means算法实现了流量的高效分类。 　　关键词：WinPcap；网络监听；数据包捕捉；流量分类 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)07-1529-03 　　Research on Application of WinPcap in Network Sniffing 　　YU Lei 　　(Network Information Center,Ningxia University, Yinchuan 750021, China) 　　Abstract: With the continuous increase of the application of the network,the problems of network security become more and more obvious, How to monitor network has become an important issue for network managers，a network monitoring system is designed based on analysis of WinPcap，which uses a dynamic time-driven packet-sampling algorithm to improve sampling efficiency, uses K-means algorithm to achieve efficient flow classification. 　　Key words: WinPcap; network sniffing; packet capture; flow classification 　　随着计算机网络应用的不断增加，网络安全问题已经变得越来越严重，许多单位和个人用户都在不同程度上受到过网络黑客的入侵与破坏，层出不穷的网上失泄密事故案件给国家和个人造成了巨大损失；同时，由于没有实时有效的网络监听管理系统，无法识别非法用户的入侵或用户对网络的非法使用，甚至在受到网络攻击后不知道如何应对，从而造成较大的损失；为了保证网络稳定安全运行，网络管理与维护者必须借助于各种网络监听工具和手段，实时对网络进行监测，及时发现正在发生的或潜在的网络安全问题，从而进行及时排除，避免故障的蔓延和扩散造成更大的损失。 　　传统的网络监听大都使用Windows SDK方法或套接字编程方法等，这些方法的实现与所用的操作系统类型和版本紧密相关，原始套接字使用复杂，其不能捕获数据链路层的信息，只能捕获到IP层的数据包，并且使用这些方法开发的程序通用性不强，这给全面网络监听带来了困难；相比之下，WinPcap提供了一组功能强大且与操作系统和适配器无关的接口函数???调用这些函数非常简单,通过提供得函数可以捕获完整的数据帧，完成内核级的数据包过滤，并且WinPcap提供具有两级缓存机制，使得其几乎不出现丢包的现象，在网络数据捕获和数据分析方面WinPcap有很大的优势。 　　1 WinPcap介绍 　　WinPcap（Windows Packet Capture）是为Libpcap在Windows平台下实现数据包的捕获而设计的一个专业网络数据包捕获开发包，用在Windows平台上进行数据包捕获等相关操作，其最大用途是捕获网络数据包，此外，还可以用来过滤网络数据包，分析网络数据包及存储网络数据包等。 　　Winpcap由内核级的网络组包过滤器(Netgroup Packet Filter, NPF)、低级动态链接库Packet.dll及高级系统无关库Wpcap.dll三个模块构成，其中，NPF是运行于操作系统内核中的驱动程序，是Winpcap的核心部分，其主要由两个主要部件Netowrk Tap和Packet Filter组成，直接与网卡驱动程序进行交互，将监听到的所有数据包进行过滤，只把用户关心的数据包中的信息提交给用户程序，把一些无关紧要的数据过滤掉；Packet.dll为Win32平台提供了一个公共的接口，提供了一个底层API，这些API可以直接用来访问内核，它屏蔽了在不同Win32操作系统平台上内核级模块的差异，调用Packet.dll的程序可以运行在不同版本的Windows平台上而???需重新编译；Wpcap.dll比Packet